2024. január eleje óta hatályos, a NIS2 közösségi irányelv alapján létrejött kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (Kibertan. tv.). Rémisztőnek és komplexnek tűnhetnek az ebben megfogalmazott feladatok azok számára, akik korábban még nem foglalkoztak információbiztonsággal.

Az is nehezíti a tisztánlátást, hogy a jogszabály több végrehajtási rendelete még hiányzik.

Ezek jelenleg minisztériumi vagy hatósági egyeztetések alatt állhatnak, tartalmukba pedig csak innen-onnan, társadalmi egyeztetéseken és az illetékes hatóság (SZTFH – Szabályozott Tevékenységek Felügyeleti Hatósága) tájékoztató előadásain kaphattunk részleges betekintést.

Emiatt rendelkezünk egyfelől biztosnak tekinthető NIS2 információkkal, amelyek az EU 2022/2555 irányelvéből és a fent említett hazai jogszabályból olvashatunk ki, másfelől rendelkezünk még bizonytalan információkkal is, amik a még ki nem hirdetett rendeletek tervezeteiből származnak. Ráadásul kevés szakember és társaság mondhatja el magáról, hogy olyan szinten foglalkozott volna eddig az információbiztonsággal, amilyen szinten azt a NIS2 követelményrendszere a jövőben elvárja, így a várakozás mellett egyfajta folyamatos közösségi edukáció is megfigyelhető már a NIS2 előadásokat és konferenciákat járva.

Ebben a cikkben azokat a tudnivalókat gyűjtöttük össze, amelyek a Grant Thornton Magyarország eddigi tapasztalatai alapján a legfontosabbnak gondolunk és amelyek aktív szerepet játszottak a Grant Thornton által kidolgozott NIS2 mentorálás szolgáltatás kialakításában.

Az EU Kiberbiztonsági Stratégiája

A NIS2 célja tiszta és egyértelmű. Az EU azt szeretné ha minden, a területén működő  alapvető és fontos társaság rendelkezne olyan kibervédelmi rendszerrel, amely amellett, hogy megnehezíti a támadók dolgát, lehetővé teszi, hogy az esetlegesen bekövetkezett támadásokról gyors és teljes körű jelentés készüljön és kerüljön megosztásra a nemzeti incidenskezelő központok között.

Ez utóbbi a több országot is érintő kibertámadásokkal szembeni összehangolt fellépés érdekében fontos.

A nemzeti jogszabályokban (nálunk a Kibertan. tv.) megfogalmazott elvárások és az azok alapján kialakított információvédelmi intézkedések is mind ennek a célnak az elérését  hivatottak támogatni, azaz hogy

• csökkentsük a cégekben az incidensek esélyét;
• minél hamarabb észleljék a cégek egy incidens bekövetkeztét;
• minél gyorsabban és hatékonyabban reagáljanak egy bekövetkezett incidensre (ide értve az arról való kötelező jelentéstételt is).

A NIS2 kiterjesztett hatókörébe nagyon sok olyan társaság is bekerült, amely számára várhatóan egy jó hosszú felkészülési út vezet majd a fenti célok elérésig. Több lépésben és több hónapos felkészüléssel tudják csak kialakítani a követelményeknek megfelelő információbiztonsági irányítási rendszerüket.

Ennek során nem csak technológiai, hanem jogi, folyamatszervezési, HR és más adminisztrációs kihívásokkal is találkozni fognak.

A követelmények egy része már ismert, de egy másik része még csak terv formájában létezik.

Önazonosítás és regisztráció

Az első feladat, hogy az érintettek magukra ismerjenek. Ehhez meg kell vizsgálni a KKV törvény szerinti besorolásukat, valamint azt, hogy végzik-e a Kibertan. tv. mellékleteiben meghatározott valamely tevékenységet. Akár csak egyetlen ilyen tevékenység is akad, az a teljes cég érintettségét fogja jelenteni és innentől kezdve elkerülhetetlenné válik a megfeleléssel való foglalkozás.

Az érintett cégeknek június 30-ig kell regisztrálniukaz SZTFH 420 jelű nyomtatvány kitöltésével. Ebben a kérdőívben nem csak adminisztratív, de technológiai kérdéseket is találhatunk, valamint a belső információbiztonsági felelős személyes adatait és elérhetőségét is pontosan fel kell itt tüntetni.

A regisztráció egy nagyon fontos lépés, mivel az illetékes hatóság nem fogja maga felkeresni a Kibertan. tv. hatálya alá került társaságokat, a cégeknek kell bejelentkezniük a hatóságnál. Az elmaradt regisztrációért ugyanakkor várhatóan mulasztási bírság kerül majd kiszabásra, aminek részletei viszont még nem ismertek, mivel azt az egyik még hiányzó rendelet fogja szabályozni.

Ezzel kapcsolatban milliós összegről lehet hallani a hatóság képviselőitől.

A kötelező regisztráció célja, hogy annak segítségével egy európai szintű nyilvántartást is létre lehessen hozni a NIS2 hatálya alá tartozó cégekről.

A felkészülés menete

A további lépésekről egyelőre csak rendelettervezetekből tájékozódhatunk. Ezek alapján az várható, hogy

1. az érintett cégeknek össze kell majd írniuk az általuk használt elektronikus információs rendszereket
2. azokat három védelmi osztályba kell sorolniuk: alap, jelentős és magas. A besorolást attól függően kell megtegyék, hogy azokban milyen adatokat dolgoznak fel vagy tárolnak és azok milyen kockázatokat hordoznak a cégre, illetve a társadalomra nézve. A besorolás módszertanára egy ajánlást is megfogalmaz majd a rendelettervezet, ezzel is csökkentve annak szubjektivitását.
3. A felhasznált rendszerek besorolása alapján már nagyjából egyértemű lesz, hogy  milyen kötelezően alkalmazandó védelmi intézkedéseket kell kialakítani velük kapcsolatban. Erre egy intézkedési katalógus áll majd a cégek rendelkezésére, amelyről jelenleg szintén egy még hiányzó rendelet tervezetéből informálódhatunk. A katalógus alapján az várható, hogy meg lesz kötve a társaságok keze  az információbiztonsági keretrendszerük részleteinek kidolgozásakor.

A kötelezően alkalmazandó védelmi intézkedések katalógusa már hónapok óta társadalmi egyeztetésen van. A végleges verzióját még nem adták ki, a munkapéldány alapján azonban egy igen komplex követelményrendszerre lehet számítani.

A NIS2 auditorok több száz kontrollpont alapján fogják majd vizsgálni a cégek felkészültségét, amelyben többek között fontos szerepet kap az adathordozók és a fizikai környezet védelme, a személyi biztonság, az ellátási lánc védelme, a felhasználók képzése, harmadik féltől igénybe vett szolgáltatások kockázatelemzése, a hozzáférés-felügyelet, az üzletfolytonosság és az incidenskezelés tervezése, az informatikai rendszerek működésének folyamatos naplózása és monitorozása.

Ugyan részletszabályzatok végleges verziói még nem kerültek kiadásra, de a már hatályos NIS2 irányelv, a Kibertan. törvény, a részletszabályokat tartalmazó rendelettervezetek, valamint az információbiztonsági irányítási rendszerek több évtizedes jógyakorlataimár megfelelő kiindulási pontot jelentenek a felkészülést elkezdésére.

Az érintett cégek 2024. év végéig kell eljussanak a felkészültség azon fokára, ahol már szerződni tudnak az általuk kiválasztott NIS2 auditorral és érdemben ütemezni is tudják megfelelésük ellenőrzését.

Az eredeti cikket a Digitrendi.hu Vendégoldalán olvashatjátok: https://digitrendi.hu/nis2-kiberbiztonsagi-tanusitas-tenyek-es-meg-tobb-terv/

További hasznos linkek:

• Az SZTFH regisztrációs oldala: https://sztfh.hu/ugyintezes/nyomtatvanyok-es-urlapok/sztfh420/
• A biztonsági osztályba sorolás és alkalmazandó védelmi intézkedések miniszteri rendelet tervezete: https://kormany.hu/dokumentumtar/biztonsagi-osztalyba-sorolas-es-alkalmazando-vedelmi-intezkedesek-min-rendelet
• A Grant Thornton Magyarország NIS2 mentorálás szolgáltatása: https://grantthornton.hu/szolgaltatasok/nis2-tanacsadas